Debian DLA-3291-1: node-object-path - LTS セキュリティ更新

critical Nessus プラグイン ID 170884

Language:

概要

リモートの Debian ホストに 1 つまたは複数のセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 10 ホストには、dla-3291 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- プロトタイプ汚染の脆弱性が `set()` メソッドに影響する `object-path` <= 0.11.4で見つかりました。脆弱性は `includeInheritedProps` モードに限定され (バージョン> = 0.11.0 使用の場合)、`object-path` の新しいインスタンスを作成し、オプション `includeInheritedProps: true` を設定するか、デフォルトの `withInheritedProps` インスタンスを使用して明示的に有効になります。version >= 0.11.0 が使用されている場合、デフォルトの動作モードはこの脆弱性の影響を受けません。versions < 0.11.0 における `set()` の使用は脆弱です。この問題は object-path バージョン 0.11.5 で修正されており、回避策としては、`includeInheritedProps: true` オプションまたは `withInheritedProps` インスタンスは version >= 0.11.0 を使用する場合には使用しません。(CVE-2020-15256)

- これは 0.11.6より前のパッケージ object-path に影響します。型の取り違え (Type Confusion) の脆弱性により、パスパラメーターで使用されるパスコンポーネントが配列である場合、CVE-2020-15256 のバイパスが発生する可能性があります。特に、条件 currentPath === '__proto__' は currentPath が ['__proto__'] の場合に false を返します。これは、オペランドの型が異なる場合、=== 演算子が常に false を返すためです。(CVE-2021-23434)

- object-path は、オブジェクトプロトタイプ属性の不適切に制御された変更 (「プロトタイプ汚染」) に対して脆弱です (CVE-2021-3805)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。